《iptables 高级使用研讨》PPT 及相关源代码（讲座视频新鲜出炉！！！）

platinum

8 月 7 日和各位热心网友一起探讨了一下如何使用 iptables 的高级功能
现将当时的 PPT 及讲座相关的源代码放上来
也许有美中不足之处，欢迎大家指出，一起探讨

相关连接：
        《2 小时玩转 iptables》http://linux.chinaunix.net/bbs/thread-722462-1-1.html
        讲座视频：http://v.zz.ku6.com/play.php?vid=JTNNaAM8YSTP6RGJ

严禁灌水

chinaunix874

白金版主，有两个问题请教。

第一个，关于禁止tracert的，能不能写一条策略，禁止icmp的 ICMP time exceeded，这样不就所有的跳数都是time out了？

第二个，关于IP地址和MAC地址绑定的，在系统直接做绑定，和用iptables来做分析，哪种方式更好？

platinum

1、可以，如果需求是一刀切全都不允许而不是隐藏附近几跳的话你的这种做法是最好的
2、你是指在系统中直接设置静态 ARP 表吗？如果是，从效率上来讲系统级更高，但在 2.4 内核中这种做法不稳定，内核会打印一些警告信息，目前 2.6 内核没有实验过。

xinyv

支持，课讲的非常易懂便于理解。

chong232

大赞，我是第一次听老大讲，受益匪浅！！

daocaoren0311

iptables -N MAC_CHECK
iptables -A FORWARD -i eth1 -o eth0 -j MAC_CHECK
iptables -A MAC_CHECK -s 172.16.11.101 -m mac \
--mac-source XX:XX:XX:XX:XX:XX -j RETURN
iptables -A MAC_CHECK -s 172.16.11.102 -m mac \
--mac-source YY:YY:YY:YY:YY:YY -j RETURN
iptables -A MAC_CHECK -s 172.16.11.103 -m mac \
--mac-source ZZ:ZZ:ZZ:ZZ:ZZ:ZZ -j RETURN
iptables -A MAC_CHECK -j DROP

弱弱的问一句，return 这个动作会将动作返回调用它的链，例如上面这个动作，会返回到MAC_CHECK链吗？如果返回，它是继续向下执行iptables，还是执行上面的第二句话，然而这里面没动作啊。

daocaoren0311

我现在的理解是如果匹配到，return跳出mac_check，返回forward链（即上次调用的父链）继续向下匹配，如果没有规则了则执行forward链默认规则（accept或drop），这样理解对吗

platinum

弱弱的问一句，return 这个动作会将动作返回调用它的链，例如上面这个动作，会返回到MAC_CHECK链吗？如果返回，它是继续向下执行iptables，还是执行上面的第二句话，然而这里面没动作啊。
daocaoren0311 发表于 2010-08-09 12:13

返回调用到 MAC_CHECK 的地方，也就是 FORWARD 链中的 iptables -A FORWARD -i eth1 -o eth0 -j MAC_CHECK 之后

我现在的理解是如果匹配到，return跳出mac_check，返回forward链（即上次调用的父链）继续向下匹配，如果没有规则了则执行forward链默认规则（accept或drop），这样理解对吗
daocaoren0311 发表于 2010-08-09 12:49

正确

daocaoren0311

谢谢版主

platinum

谢谢版主
daocaoren0311 发表于 2010-08-09 13:32

不客气
针对本次的 PPT 大家有什么问题可以在本贴提出，我们一起讨论